Chiffrement au repos dans ElastiCache

Pour garantir la sécurité de vos données, Amazon ElastiCache et Amazon S3 proposent différentes méthodes pour restreindre l'accès aux données de votre cache. Pour plus d’informations, consultez Sécurité des VPC Amazon et ElastiCache et Identity and Access Management pour Amazon ElastiCache.

ElastiCache le chiffrement au repos est une fonctionnalité qui permet de renforcer la sécurité des données en chiffrant les données sur disque. Il est toujours activé sur un cache sans serveur. Lorsque cette fonctionnalité est activée, elle chiffre les aspects suivants :

• Le disque lors des opérations de synchronisation, de sauvegarde et d'échange

• Sauvegardes stockées dans Amazon S3

Les données stockées sur des SSD (disques SSD) dans des clusters compatibles avec la hiérarchisation des données sont toujours chiffrées.

ElastiCache propose un chiffrement par défaut (géré par le service) au repos, ainsi que la possibilité d'utiliser vos propres clés AWS KMS symétriques gérées par le client dans le service de gestion des AWS clés (KMS). Lorsque le cache est sauvegardé, sous les options de chiffrement, choisissez d’utiliser la clé de chiffrement par défaut ou une clé gérée par le client. Pour plus d’informations, consultez Activation du chiffrement au repos.

Note

Le chiffrement par défaut (géré par le service) est la seule option disponible dans les régions GovCloud (États-Unis).

Important

L'activation du chiffrement au repos sur un cluster Redis OSS existant conçu par nos soins implique la suppression de votre groupe de réplication existant, après avoir exécuté la sauvegarde et la restauration sur le groupe de réplication.

Le chiffrement au repos ne peut être activé sur un cache que lorsqu’il est créé. Puisque du traitement est nécessaire pour chiffrer et déchiffrer les données, activer le chiffrement au repos peut avoir un certain impact sur les performances durant ces opérations. Vous devez référencer vos données avec et sans le chiffrement au repos pour déterminer l'impact sur la performance pour vos cas d'utilisation.

Conditions du chiffrement au repos

Les contraintes suivantes relatives ElastiCache au chiffrement au repos doivent être prises en compte lorsque vous planifiez la mise en œuvre du ElastiCache chiffrement au repos :

• Le chiffrement au repos est pris en charge sur les groupes de réplication exécutant les versions Redis OSS (version 3.2.6 prévue pour EOL, voir calendrier de fin de vie des versions Redis OSS), 4.0.10 ou versions ultérieures.

• Le chiffrement au repos est pris en charge uniquement pour les groupes de réplication s'exécutant dans un Amazon VPC.

• Le chiffrement au repos est pris en charge uniquement pour les groupes de réplication exécutant les types de nœud suivants.

  • R6gd, R6g, R5, R4, R3

  • M6g, M5, M4, M3

  • T4g,T3, T2

  Pour plus d'informations, consultez Types de nœuds pris en charge

• Le chiffrement au repos est activé par la définition explicite du paramètre AtRestEncryptionEnabled sur true.

• Le chiffrement au repos peut être activé sur un groupe de réplication uniquement lorsque vous créez le groupe de réplication. Vous ne pouvez pas activer et désactiver le chiffrement au repos en modifiant un groupe de réplication. Pour plus d'informations sur l'implémentation du chiffrement au repos sur un groupe de réplication existant, consultez Activation du chiffrement au repos.

• Si un cluster utilise un type de nœud de la famille r6gd, les données stockées sur SSD sont chiffrées, que le chiffrement au repos soit activé ou non.

• L'option permettant d'utiliser une clé gérée par le client pour le chiffrement au repos n'est pas disponible dans les régions AWS GovCloud (us-gov-east us-gov-west-1 et -1).

• Si un cluster utilise un type de nœud de la famille r6gd, les données stockées sur un SSD sont chiffrées à l'aide de la clé AWS KMS gérée par le client choisie (ou du chiffrement géré par le service dans les régions). AWS GovCloud

L'implémentation du chiffrement au repos peut réduire la performance lors des opérations de sauvegarde et de synchronisation de nœud. Référencez le chiffrement au repos en comparaison avec l'absence de chiffrement sur vos propres données pour déterminer l'impact sur la performance pour votre cas d'utilisation.

Utilisation de clés gérées par le client à partir de AWS KMS

ElastiCache prend en charge les clés AWS KMS symétriques gérées par le client (clé KMS) pour le chiffrement au repos. Les clés KMS gérées par le client sont des clés de chiffrement que vous créez, détenez et gérez dans votre AWS compte. Pour de plus amples informations, veuillez consulter Clés AWS KMS dans le Guide du développeur AWS Key Management Service. Les clés doivent être créées dans AWS KMS avant de pouvoir être utilisées avec ElastiCache.

Pour savoir comment créer des clés racines AWS KMS, consultez la section Création de clés dans le guide du développeur du service de gestion des AWS clés.

ElastiCache vous permet de vous intégrer à AWS KMS. Pour plus d'informations, veuillez consulter Utilisation d'octrois dans le Guide du développeur AWS Key Management Service. Aucune action du client n'est requise pour activer ElastiCache l'intégration d'Amazon à AWS KMS.

La clé de kms:ViaService condition limite l'utilisation d'une clé AWS KMS (clé KMS) aux demandes provenant de AWS services spécifiques. À utiliser kms:ViaService avec ElastiCache, incluez les deux ViaService noms dans la valeur de la clé de condition : elasticache.AWS_region.amazonaws.com etdax.AWS_region.amazonaws.com. Pour plus d'informations, voir kms : ViaService.

Vous pouvez l'AWS CloudTrailutiliser pour suivre les demandes qu'Amazon ElastiCache envoie AWS Key Management Service en votre nom. Tous les appels d'API AWS Key Management Service liés aux clés gérées par le client ont CloudTrail des journaux correspondants. Vous pouvez également voir les autorisations ElastiCache créées en appelant l'appel d'API ListGrantsKMS.

Une fois un groupe de réplication chiffré à l'aide d'une clé gérée par le client, toutes les sauvegardes pour le groupe de réplication sont chiffrées comme suit :

• Les sauvegardes quotidiennes automatiques sont chiffrées à l'aide de la clé gérée par le client associée au cluster.

• La sauvegarde finale créée quand le groupe de réplication est supprimé est également chiffrée à l'aide de la clé gérée par le client associée au groupe de réplication.

• Les sauvegardes manuellement créées sont chiffrées par défaut pour utiliser la clé KMS associée au groupe de réplication. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

• Copier une sauvegarde revient à utiliser une clé gérée par le client associée à la sauvegarde de la source. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

Note

• Les clés gérées par le client ne peuvent pas être utilisées lorsque vous exportez des sauvegardes vers le compartiment Amazon S3 sélectionné. Cependant, toutes les sauvegardes exportées vers Amazon S3 sont chiffrées à l'aide du Chiffrement côté client. Vous pouvez choisir de copier le fichier de sauvegarde vers un nouvel objet S3 et le chiffrer à l'aide d'une clé KMS gérée par le client, copier le fichier vers un autre compartiment S3 configuré avec le chiffrement par défaut à l'aide d'une clé KMS ou changer une option de chiffrement dans le fichier lui-même.

• Vous pouvez toujours utiliser des clés gérées par le client pour chiffrer des sauvegardes manuellement créées pour les groupes de réplication qui n'utilisent pas de clés gérées par le client pour le chiffrement. Avec cette option, le fichier de sauvegarde stocké dans Amazon S3 est chiffré à l'aide d'une clé KMS, même quand les données ne sont pas chiffrées sur le groupe de réplication original.

La restauration à partir d'une sauvegarde vous permet de choisir parmi les options de chiffrement disponibles, comme pour les choix de chiffrement disponibles lors de la création d'un nouveau groupe de réplication.

• Si vous supprimez la clé ou si vous la désactivez et révoquez les octrois pour la clé que vous avez utilisée pour chiffrer un cache, ce dernier devient irrécupérable. En d'autres termes, il ne peut pas être modifié ou restauré après une panne matérielle. AWS KMS supprime les clés racines uniquement après une période d'attente d'au moins sept jours. Une fois la clé supprimée, vous pouvez utiliser une autre clé gérée par le client afin de créer une sauvegarde à des fins d'archive.

• La rotation automatique des clés préserve les propriétés de vos clés racines AWS KMS, de sorte que la rotation n'a aucun effet sur votre capacité à accéder à vos ElastiCache données. Les ElastiCache caches Amazon chiffrés ne prennent pas en charge la rotation manuelle des clés, qui implique la création d'une nouvelle clé racine et la mise à jour des références à l'ancienne clé. Pour en savoir plus, consultez Rotation des clés AWS KMS dans le Guide du développeur du service de gestion des AWS clés.

• Le chiffrement d'un ElastiCache cache à l'aide d'une clé KMS nécessite une autorisation par cache. Cet octroi est utilisé pendant toute la durée de vie du cache. De plus, un octroi par sauvegarde est utilisé pendant la création de la sauvegarde. Cet octroi est retiré une fois la sauvegarde créée.

• Pour plus d'informations sur les AWS autorisations et les limites KMS, consultez la section Limites du guide du développeur du service de gestion des AWS clés.

Activation du chiffrement au repos

Le chiffrement au repos est activé pour tous les caches sans serveur.

Lorsque vous créez un cluster auto-conçu, vous pouvez activer le chiffrement au repos en définissant le paramètre AtRestEncryptionEnabled sur true. Vous ne pouvez pas activer le chiffrement au repos sur les groupes de réplication existants.

Vous pouvez activer le chiffrement au repos lorsque vous créez un ElastiCache cache. Vous pouvez le faire à l'aide de AWS Management Console, de AWS CLI, ou de l' ElastiCache API.

Lorsque vous créez un cache, vous pouvez sélectionner l’une des options suivantes :

• Par défaut : cette option utilise le chiffrement au repos géré par service.

• Clé gérée par le client : cette option vous permet de fournir l'identifiant ou l'ARN de la clé provenant de AWS KMS pour le chiffrement au repos.

Pour savoir comment créer des clés racines AWS KMS, consultez la section Créer des clés dans le guide du développeur du service de gestion des AWS clés

Table des matières

• Activation du chiffrement au repos à l'aide du AWS Management Console
• Activation du chiffrement au repos à l'aide du AWS CLI

Activation du chiffrement au repos sur un cluster Redis OSS existant conçu par ses soins

Vous ne pouvez activer le chiffrement au repos que lorsque vous créez un groupe de réplication Redis OSS. Si vous disposez déjà d'un groupe de réplication sur lequel vous souhaitez activer le chiffrement au repos, procédez comme suit.

Pour activer le chiffrement au repos sur un groupe de réplication existant

1. Créez une sauvegarde manuelle de votre groupe de réplication existant. Pour plus d’informations, consultez Réalisation de sauvegardes manuelles.

2. Créez un groupe de réplication en restaurant la sauvegarde. Sur le nouveau groupe de réplication, activez le chiffrement au repos. Pour plus d’informations, consultez Restauration à partir d’une sauvegarde dans un nouveau cache.

3. Dans votre application, mettez à jour les points de terminaison pour pointer vers le nouveau groupe de réplication.

4. Supprimez l'ancien groupe de réplication. Pour plus d’informations, consultez Suppression d’un cluster ou Suppression d'un groupe de réplication.

Activation du chiffrement au repos à l'aide du AWS Management Console

Activation du chiffrement au repos sur un cache sans serveur (console)

Le chiffrement au repos est activé pour tous les caches sans serveur. Par défaut, une clé KMS AWS appartenant à l'utilisateur est utilisée pour chiffrer les données. Pour choisir votre propre AWS KMS clé, effectuez les sélections suivantes :

• Développez la section Paramètres par défaut.

• Choisissez Personnaliser les paramètres par défaut dans la section Paramètres par défaut.

• Choisissez Personnaliser vos paramètres de sécurité dans la section Sécurité.

• Choisissez Clé CMK gérée par le client sous le paramètre Clé de chiffrement.

• Sélectionnez une clé sous le paramètre CléAWS KMS .

Activation du chiffrement au repos sur un cluster auto-conçu (console)

Lorsque vous concevez votre propre cache, le chiffrement au repos est activé à l’aide de la clé Par défaut pour les configurations « Dev/Test » et « Production » avec la méthode « Création facile ». Lorsque vous choisissez vous-même la configuration, effectuez les sélections suivantes :

• Choisissez la version 3.2.6, 4.0.10 ou ultérieure en tant que version de moteur.

• Cochez la case en regard de Activer pour l’option Chiffrement au repos.

• Choisissez Clé par défaut ou Clé CMK gérée par le client.

Pour la step-by-step procédure, reportez-vous à la section suivante :

• Création d'un cluster Redis OSS (mode cluster désactivé) (console)

• Création d'un cluster Redis OSS (mode cluster activé) (console)

Activation du chiffrement au repos à l'aide du AWS CLI

Pour activer le chiffrement au repos lors de la création d'un cluster Redis OSS à l'aide du AWS CLI at-rest-encryption-enabled paramètre -- lors de la création d'un groupe de réplication.

Activation du chiffrement au repos sur un cluster Redis OSS (mode cluster désactivé) (CLI)

L'opération suivante crée le groupe de réplication Redis OSS (mode cluster désactivé) my-classic-rg avec trois nœuds (-- num-cache-clusters), une réplique principale et deux répliques en lecture. Le chiffrement au repos est activé pour ce groupe de réplication (-- at-rest-encryption-enabled).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

Paramètres clés

• --engine : doit être redis.

• --engine-version : doit être 3.2.6, 4.0.10 ou supérieure.

• --at-rest-encryption-enabled : requis pour activer le chiffrement au repos.

Exemple 1 : Cluster Redis OSS (mode cluster désactivé) avec répliques

Pour Linux, macOS ou Unix :

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3 

Pour Windows :

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Pour plus d'informations, consultez les éléments suivants :

• Création d'un groupe de réplication Redis OSS (mode cluster désactivé) à partir de zéro ()AWS CLI

• create-replication-group

 

Activation du chiffrement au repos sur un cluster pour Redis OSS (mode cluster activé) (CLI)

L'opération suivante crée le groupe de réplication Redis OSS (mode cluster activé) my-clustered-rg avec trois groupes de nœuds ou partitions (-- num-node-groups). Chacun possède trois nœuds, un nœud principal et deux répliques de lecture (-- replicas-per-node-group). Le chiffrement au repos est activé pour ce groupe de réplication (-- at-rest-encryption-enabled).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

Paramètres clés

• --engine : doit être redis.

• --engine-version : version 4.0.10 ou supérieure obligatoire.

• --at-rest-encryption-enabled : requis pour activer le chiffrement au repos.

• --cache-parameter-group : doit indiquer default-redis4.0.cluster.on ou l'un de ses dérivés afin de faire de ce cluster un groupe de réplication activé sur le mode.

Exemple 2 : Un cluster Redis OSS (mode cluster activé)

Pour Linux, macOS ou Unix :

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Pour Windows :

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Pour plus d'informations, consultez les éléments suivants :

• Création d'un groupe de réplication Redis OSS (mode cluster activé) à partir de zéro ()AWS CLI

• create-replication-group

consultez aussi

• Sécurité des VPC Amazon et ElastiCache

• Identity and Access Management pour Amazon ElastiCache